DNS放大攻击

Question 1

好的 - 首先要做的事情是：要么给你的服务器设置防火墙，这样你组织之外的人就无法访问它，或者禁用递归：

打开 DNS 管理器。

在控制台树中，右键单击适用的 DNS 服务器，然后单击“属性”。

单击“高级”选项卡。

在服务器选项中，选中禁用递归复选框，然后单击确定。

现在你不再主动破坏互联网您可以阅读有关 DNS 放大攻击、它们是如何发生的、为什么它们很糟糕，以及你可以做些什么来避免成为其中的棋子。
你可能还想阅读这篇有关 DNSSEC 和 DNS 放大攻击的 Technet 文章其中包括一些信息参考。

然后，您可以确定如何最好地防止您的服务器被利用进行此类攻击。
通常，您可以通过仅回答已知主机组（您的内部机器）的递归查询来做到这一点，但也有其他选择。

Answer

好的 - 首先要做的事情是：要么给你的服务器设置防火墙，这样你组织之外的人就无法访问它，或者禁用递归：

打开 DNS 管理器。

在控制台树中，右键单击适用的 DNS 服务器，然后单击“属性”。

单击“高级”选项卡。

在服务器选项中，选中禁用递归复选框，然后单击确定。

现在你不再主动破坏互联网您可以阅读有关 DNS 放大攻击、它们是如何发生的、为什么它们很糟糕，以及你可以做些什么来避免成为其中的棋子。
你可能还想阅读这篇有关 DNSSEC 和 DNS 放大攻击的 Technet 文章其中包括一些信息参考。

然后，您可以确定如何最好地防止您的服务器被利用进行此类攻击。
通常，您可以通过仅回答已知主机组（您的内部机器）的递归查询来做到这一点，但也有其他选择。

Question 2

在此处输入图片描述

Answer

在此处输入图片描述

Question 3

禁用递归可能无法阻止对公共服务器的攻击。

问题在于查询大约有 94 个字节，而响应（表明它是 NXDOMAIN）至少有 119 个字节，因此攻击被稍微放大了，并且几乎总是来自欺骗的 IP。

您还必须拥有其中没有记录的点区域 (.)，以便将响应减少到 119 个字节。

这些攻击中最常见的是要求 freeinfosys.com

以上任何方法都无法阻止攻击本身，但可以减少其影响。

当 DNS 服务器是公共权威服务器时，它需要允许任何人、任何地方对其所承载的区域进行查询，因此您不能通过 p 和其他步骤进行限制，而这些步骤您可以用于私有或内部 DNS 服务器。

微软 2016 年发布的下一个版本的 DNS 将具有 RRL，这将大有帮助，可惜他们没有发布 Bind 多年来一直需要的这个功能。

Answer

禁用递归可能无法阻止对公共服务器的攻击。

问题在于查询大约有 94 个字节，而响应（表明它是 NXDOMAIN）至少有 119 个字节，因此攻击被稍微放大了，并且几乎总是来自欺骗的 IP。

您还必须拥有其中没有记录的点区域 (.)，以便将响应减少到 119 个字节。

这些攻击中最常见的是要求 freeinfosys.com

以上任何方法都无法阻止攻击本身，但可以减少其影响。

当 DNS 服务器是公共权威服务器时，它需要允许任何人、任何地方对其所承载的区域进行查询，因此您不能通过 p 和其他步骤进行限制，而这些步骤您可以用于私有或内部 DNS 服务器。

微软 2016 年发布的下一个版本的 DNS 将具有 RRL，这将大有帮助，可惜他们没有发布 Bind 多年来一直需要的这个功能。

Question 4

顺便说一下，还有查询阻止列表，但它也不会拒绝列表中域的查询。

有趣的是，由于我目前正在经历这种攻击，我再次尝试了其中一个建议。

我删除了 .root 区域并收到需要添加根提示的警告但我忽略了它。

我停止并重新启动了 DNS 服务，并确保根提示仍然清晰。

响应数据包从 119 字节增加到 700 多个字节，所以现在我将攻击放大了 10 倍。

因此，如果有人向我发送 1MB 的带宽，我会向没有发送请求的 IP 发送 10 倍带宽，用于我无权处理的查询。

我确实希望这个建议能够奏效，而且我确信我以前尝试过，但是由于恰巧遇到了实弹攻击的情况，所以我再次尝试了。

Answer